本文主要论述如何按照信息系统成熟的安全管理模式，来管理安全技术防范系统的安全。

信息安全定义及其属性

根据国际标准ISO/IEC27001：2005《信息技术一安全技术一信息安全管理体系一要求》中的定义，信息安全是：“保护信息的保密性、完整性、可用性；另外也包括其他属性，如：真实性、可核查性、不可抵赖性和 可靠性。”

一、保密性。它是指信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性。也就是说，确保所传输的数据只被其预定的接收者读取。保密性的破坏有多种可能，例如，信息的故意泄露或松懈的安全管理。 常用的保密技术包括：防侦收（使对手侦收不到有用的信息）、防辐射（防止有用信息以各种途径辐射出去）、信息加密（在密钥的控制下，用加密算法对信息进行加密处理）、物理保密（利用各种物理方法保护信息不被泄露）。

二、完整性。它是指“保护资产的正确和完整的特性”。简单地说，就是确保接收到的数据就是发送的数据。数据不应该被改变，这需要某种方法去进行验证。确保数据完整性的技术包括：消息源的不可抵赖、防 火墙系统、通信安全、入侵检测系统。

三、可用性。它是指“需要时，授权实体可以访问和使用的特性”。它确保数据在需要时可以使用。尽管传统上认为可用性并不属于信息安全的范畴，但随着拒绝服务攻击的逐渐盛行，要求数据总能保持可用性就 显得很关键了。确保可用性的技术包括：磁盘和系统的容错及备份、可接受的登录及进程性能、可靠的功能 性的安全进程和机制。

四、其他属性及目标。

信息安全也包括一些其他特性：真实性一般是指对信息的来源进行 判断，能对伪造来源的信息予以鉴别；可核查性是指系统实体的行为可以被独一无二地追溯到该实体的特性，这个特性就是要求该实体对其行为负责，可核查性也为探测和调查安全违规事件提供了可能性；不可抵赖性是指建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的；可靠性是指系统在规定的时间和给定的条件下，无故障完成规定功能的概率，通常用平均故障间隔时间来度量。

保密性、完整性和可用性是信息安全最为关注的三个属性，因此这三个特性也经常被称为信息安全三元组，这也是我们安全技术防范系统安全管理所强调的目标。

安全技术防范，系统安全管理体系

安全管理体系主要涉及安全管理机构、安全管理制度、安全管理技术和安全教育培训等方面。通过组建完整的信息网络安全管理机构和设置安全管理人员，规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施，制定严格的安全管理制度，合理地协调法律、技术和管理三种因素，实现对系统安全管理的科学化、系统化和规范化，达到保障安全的目的。

一个完善的安全技术防范系统的安全管理体系通常具体包含以下几个方面：

一、落实安全管理机构及安全管理人员。

二、制定安全管理政策和制度。

三、实施风险管理，包括风险管理要求和策略、风险分析和评估、风险控制、基于风险的决策及风险评估的管理。其具体要素是评估系统保密要求、系统威胁的识别和分析等。

四、环境和资源管理，包括环境安全管理和资源管理。

五、运行和维护管理，包括用户管理、运行操作管理、运行维护管理、外包服务管理、有关安全机制保障、安个集中管理。

六、业务持续性管理，包括备份与恢复、安全时间处理、应急处理。

七、监督和检查管理，包括检查相关法律要求的落实、依从性管理、 审计及监管控制、责任认定。

八、生存周期管理，包括规划和立项管理、建设过程管理、系统启用和终止管理。

人员安全管理

安全技术防范系统的安全管理是一个整体的系统问题，不是仅通过技术手段就可以解决的，它的安全管理同样适用于常规的人防、物防和技防等安全防范范畴。安全技术防范系统本身的“技防”问题，如防拆、防破坏功能，视频丢失报警功能、暴力开门报警功能等，这些在一个安全技术防范系统的设计、施工过程中一般已经考虑的非常完善了，而“物防”问题是安全防范的基础，通常也比较容易实现，因此这两个问题本文不作具体阐述，在此主要讨论如何作好安全技术防范系统的“人防”管理。人员安全管理应主要做好安全组织、岗位考核与培训、离岗人员安全管理工作。

一、成立安全组织。单位应成立安全领导小组，负责本单位的安全保卫工作，并履行相应职能。

（一）安全管理的领导职能：依据国家有关法律、法规、政策及规范，对本单位安全负全面领导责任，制定安全管理制度，组织落实各级安全责任 制。

（二）安全监督的管理职能：领导并支持安全管理人员或部门的监督检查工作。

二、岗位考核与培训。安全技术防范系统的各岗位人员的安全管理，应根据其关键程度建立相应的管理要求。

（一）所有管理、操作人员应具有基本条件与较高的素质。

（二）应经过安全教育、培训，包括知识、技能、意识三个阶段的教育，不仅要使操作者掌握安全操作知识， 而且能正确、认真地在操作过程中，表现出安全的行为。

（三）在培训中应将相关专业知识融合于安全教育中，让相关岗位人员理解整个系统的架构与基本功能、 系统管理和维护、重要设备的使用和维护、系统故障应急措施，还应注重系统操作上机实践。

（四）安全技术防范系统竣工交接时，应向业主提供完整的工程验收报告、完工图纸，软、硬件文档，操作、 维护手册，设备清单等，应将这部分 资料的理解作为重点培训内容。

三、离岗人员安全管理。工作人员离职之后仍对其在任职期间接触、知悉的属于本单位或者虽属于第三方但本单位承诺或负有保密义务的秘密信息，承担如同任职期间一样的保密义务和不擅自使用的义务，直到该秘密信息成为公开信息，而无论离职人员因何种原因离职。国家行政机关、金融行业等重要、敏感单位，可依据 《保守国家秘密法》规定，根据涉密岗位及涉密程度，按照核心涉密人员、重要涉密人员和一般涉密人员，实行分类管理，逐步脱密。

笔者在多年从事安全技术防范工作中，经常碰到泄密案件，总结后发现一个安装了安全技术防范系统的单位，单纯的从外部入侵是极少数的，而且外部入侵都是暴力入侵，纯技术入侵微乎其微，多数是内外勾结，或 者内部工作人员独立实施。如某地某工厂百万现金被盗案，就是工厂内保暴力破坏了财务室的联网防盗报警系统监守自盗。这对我们从业者有极大的警示作用。经调看该厂联网报警系统历史报警事件记录，询问应急队员和当班保安员后，发现该报警系统数日前就有2次警号故障信息、1次防拆报警信息，当晚应急队员接到联网报警中心警情后赶到该厂门口，但该厂保安员未让其入厂检查，告知其保安队长就在报警现场，没有警情发生，应急队员随之撤离，案情顿时明了，办案民警立即控制整个保安队。经审讯后案犯交待，该厂保安队长长期在该厂工作，得到工厂领导和员工信任，但其一直存有盗取工资款的预谋，案发前数日曾两次尝试剪断报警系统的警号，发现剪断线后警号不响，以为警号故障，案发前日其随财务人员从银行取到现金后，一直在财务室负责发放工资时的现场安全保卫工作，知道当天工资没有全部发放完，现金晚上会存放在财务室保险柜中，便决定当晚盗取现金。该案犯剪断警号线后进入财务室，马上将报警系统的红外线探测器控制线扯断，以为报警系统已经被破坏，当晚财务室的报警系统没有开机布防，本不会发生报警，但是他一扯断线，殊不知报警系统的防拆功能启动了，立即将警情传到了联网报警中心，中心通知应急队员出警后，因未能进入现场检查，该队长最终得逞。

此案例中该厂安全管理方面存在多处重大漏洞：财务室未做好物理隔断，墙壁仅修到吊顶处，未修到楼板； 财务人员违例将巨额现金存放在无人值守的财务室；财务室当晚的报警 系统未开机布防；应急队员和该厂门 卫警惕性不高，当晚未能进入现场检查；报警系统的警号未使用防剪警号等。此案例中的联网报警系统未充分 发挥作用，如果不是最后关头防拆功能启动，我们会连案发时的具体时间都不会知道，更别说出警和控制警情 了，由此可见，本文论述的建立完善的安全管理体系的重要性，以及“人 技结合”是管理和使用好安全技术防范系统的必然选择。

无数案例告诉我们，信息安全不仅是技术问题，更主要的是管理问题，俗话说：“三分技术,七分管理”，任何技术措施只能起到增强信息安全防范能力的作用，只有管理到位，也就是说管好“人”，包括是否建立了动态的闭环管理流程，能否对系统实施有效的管理和控制，才是保障系统安全的关键。